Sophos koopt NDR-aanbieder Braintrace

Sophos wil met de overname van Braintrace zijn Adaptive Cybersecurity Ecosystem een boost geven. Braintrace's Network Detection and Response (NDR)-technologie moet hieraan bijdragen met verbeterd inzicht in verdachte netwerkverkeerpatronen en nieuwe bedreigingsinformatie voor Sophos' Managed Threat Response (MTR) en Rapid Response Services, Extended Detection and Response (XDR)-technologie en Data Lake.

Braintrace's NDR biedt diepgaand inzicht in netwerkverkeerpatronen, inclusief versleuteld verkeer, zonder dat Man-in-the-Middle (MitM)-ontsleuteling nodig is. Braintrace (Salt Lake City, Utah) is een particulier bedrijf. Als onderdeel van de overname gaan ontwikkelaars, datawetenschappers en beveiligingsanalisten van Braintrace deel uitmaken van Sophos' wereldwijde Managed Threat Response (MTR) en Rapid Response-teams. Sophos wil de NDR-technologie van Braintrace voor MTR en XDR in de eerste helft van 2022 te introduceren.

Integratie NDR-technologie Braintrace

De MTR- en Rapid Response-dienstverlening van Sophos is snel gegroeid. Daardoor is de aanbieder naar eigen zeggen een van de grootste en snelst groeiende MDR-aanbieders ter wereld geworden, met meer dan 5.000 klanten. De NDR-technologie van Braintrace zal de MTR- en Rapid Response-analisten en de Extended Detection and Response (XDR)-klanten van Sophos ondersteunen door integratie in het Adaptive Cybersecurity Ecosystem, de basis van alle Sophos-producten en -diensten.

De Braintrace-technologie zal ook dienen als platform voor het verzamelen en doorsturen van gegevens van derden uit firewalls, proxies, virtuele particuliere netwerken (VPN's) en andere bronnen. Deze extra lagen van zichtbaarheid en opname van gebeurtenissen moeten de opsporing van bedreigingen, threat hunting en de respons op verdachte activiteiten aanzienlijk verbeteren.

Verkeerde inschatting aanvalsoppervlak

"Je kunt iets niet beschermen als je niet weet dat het er is”, zegt Joe Levy, chief technology officer bij Sopho. “Zowel grote als kleine bedrijven schatten vaak hun bedrijfsmiddelen en aanvalsoppervlak verkeerd in, zowel on-premises als in de cloud. Aanvallers maken hier misbruik van en gaan vaak achter zwak beschermde middelen aan als een manier om toegang te krijgen. Verdedigers profiteren van een 'traffic control systeem' dat alle netwerkactiviteit ziet, onbekende en onbeschermde middelen onthult en ontwijkende malware betrouwbaarder blootlegt dan Intrusion Protection Systems (IPS)".

Sophos zal Braintrace's NDR-technologie inzetten als virtuele machine, gevoed vanuit traditionele observatiepunten zoals een Switched Port Analyzer (SPAN) poort of een netwerk Test Access Point (TAP) om zowel inkomend en uitgaand verkeer als verkeer tussen servers te inspecteren. Deze implementaties helpen volgens de aanbieder bedreigingen te ontdekken binnen elk type netwerk (inclusief versleutelde netwerken) en dienen als aanvulling op de decoderingsmogelijkheden van Sophos Firewall.

Detectie verdachte netwerkpatronen

De packet- en flow engine van de technologie voedt een reeks machine learning-modellen, getraind om verdachte of kwaadaardige netwerkpatronen te detecteren. Voorbeelden zijn verbindingen met Command and Control (C2) servers, laterale bewegingen en communicatie met verdachte domeinen. Omdat Braintrace zijn NDR-technologie specifiek heeft ontwikkeld voor voorspellende, passieve bewaking, biedt de engine ook intelligente netwerkpakketopname die IT-beveiligingsbeheerders en threat hunters kunnen gebruiken als ondersteunend bewijsmateriaal tijdens onderzoeken. Op de nieuwe NDR-analyse en voorspellingstechniek is octrooi aangevraagd.

In vergelijking met traditionele benaderingen, waarbij kwaadaardig gedrag van tevoren wordt gedefinieerd in de vorm van vooraf opgestelde handtekeningen en detectie-engines die het verkeer inspecteren op zoek naar overeenkomsten, kiest NDR volgens marktonderzoeker Gartner voor een andere benadering. In plaats van alleen het verkeer te inspecteren aan de hand van een lijst met bekende slechte payloads of gedragingen, richt NDR zich ook op het zoeken naar onbekende patronen in het netwerkverkeer, waarbij een waarschijnlijkheid wordt berekend of die afwijking kwaadaardig is."

Compleet ecosysteem

NDR is van cruciaal belang voor succesvolle threat hunting, onderschrijft Bret Laughlin, CEO en medeoprichter van Braintrace. “Ons onderscheidende vermogen ten opzichte van de concurrentie is de NDR-technologie die onze MDR-analisten gebruikten voor het vinden, onderbreken en herstellen van cyberaanvallen. Met die technologie reageert het team sneller en nauwkeuriger vanwege de real-time, geautomatiseerde zichtbaarheid en verificatie van bedreigingen die ze hebben in versleuteld verkeer. We hebben Braintrace's NDR-technologie vanaf de grond opgebouwd voor detectie en nu, met Sophos, zal het passen in een compleet systeem om cross-product detectie en respons te bieden in een multi-vendor systeem."

De NDR-technologie van Braintrace is een essentieel onderdeel voor de verdediging tegen cyberaanvallen, nu en in de toekomst. Onderzoek van Sophos laat zien hoe tegenstanders voortdurend van tactiek veranderen om detectie te omzeilen en hun aanvallen uit te voeren. De technologie van Braintrace helpt bij het blootleggen van kwaadaardig C2-verkeer van malware, zoals CobaltStrike, BazaLoader en TrickBot, evenals zero-days, die kunnen leiden tot ransomware en andere aanvallen. Met dit overzicht kunnen threat hunters en analisten elke potentiële ransomware-aanval, waaronder recente aanvallen van REvil en DarkSide, voorkomen.